Categories: Unternehmen

Web Services und Standards: Der Hype ist Realität geworden

ZDNet: Das große Thema der OOP in München ist in diesem Jahr das selbe wie 2003: Web Services und die zugehörigen Standards.

Chanliau: Ja, aber es hat sich viel getan in Sachen Web Services. Der Hype ist Realität geworden und Sie finden nun eine Unmenge an Web Services-Projekten im Entstehen. Dazu steuern wir eine ganze Reihe von Standards bei, gerade im Bereich der Sicherheit, Synchronisation und Sessioning. Wir haben nicht viel im Angebot, das aber arbeitet sehr zuverlässig.

ZDNet: Im vergangenen Jahr war gerade WS-Security heiß umkämpft – Sun zierte sich noch, den Vorschlägen von IBM und Microsoft zu folgen. Mit welchem Szenario haben wir es 2004 zu tun?

Chanliau: WS-Security steht mittlerweile unter der Schirmherrschaft von OASIS und ist damit dem direkten Einfluss von Microsoft und IBM entzogen. Ich selbst bin ja Mitglied von OASIS – und finde das eine gute Sache. Es wurde gemacht, weil WS-Security für Security-Tokens zuständig ist, so war es auch im Interesse von Microsoft und IBM, es öffentlich zu machen – ganz anders übrigens als bei WS-Federation, dass sie unter Verschluss halten und als proprietäre Technik weiterpflegen. Sie bauen Plattformen auf Basis dieser Spezifikationen und bieten die zum Kauf an. Das macht einige Leute wirklich wütend, denn es ist als ob sie ein Haus bauen und erst nachträglich den Bauplan dafür zeichnen würden.

Bei WS-Security verhält es sich aber wie gesagt anders – es geht um das Hosting von Security Tokens. Dabei müssen wir zwei Dinge unterscheiden: Einerseits die Objekte, die wir Security Tokens nennen und aus einem Cerberos-Ticket, einer SAML-Assertion, einem x509-Zertifikat, einem Dial Password Digest oder etwas ähnlichem bestehen können. Diese Tokens sind statisch, ganz ähnlich wie objekt-orientierte Klassen. Sie beschreiben den Security-Kontext und liefern alle nötigen Sessioning-Informationen. Daneben haben Sie das Protokoll, und genau darum geht der Kampf. Das Protokoll legt fest, wie Sie nach einem Security Token fragen und es versenden.

WS-Security wird allseits akzeptiert, weil es den Einsatz jedes vorstellbaren Tokens erlaubt. Tokens wiederum sind in Profiles definiert, und Sie können jederzeit ein neues Profil anlegen. Das vereinfacht vieles und wird allseits eingesetzt. Darum wurde WS-Security öffentlich gemacht.

Auf der anderen Seite haben wir WS-Federation, also die Sammlung aller WS-*-Spezifikationen, die von IBM und Microsoft unter Verschluss gehalten werden. Da kann niemand außer den beiden Konzernen mitbestimmen. Das ist kein Standard sondern eine proprietäre Technik.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago